El nullbyte no funciona porque a file_exists no le afectan nullbytes. Veras, en versiones anteriores de PHP, el nullbyte afectaba en string, lo que se traducía a que todas las funciones que trataban con ello, eran vulnerables. A partir de 5.3.4 si no me equivoco, eso cambió y ya no les afecta dado que nno admiten strings con nullbyte.
Sencilla demostración.
test.php<?php
if(isset($_GET['file'])){
$ext = pathinfo($_GET['file'], PATHINFO_EXTENSION
); $compare = (strcasecmp($ext, 'bib') != 0 ?
false : true);
echo '<strong>El archivo elegido es: </strong> ', var_dump($_GET['file']), '<br>'; echo '<strong>La extension del archivo es: </strong> ', var_dump($ext), '<br>'; echo '<strong>Segun strcasecmp, la extension es un bib ?:</strong> ', var_dump($compare), '<br>'; echo '<strong>El archivo elegido existe ?: </strong> ', var_dump((bool
) $exists);
}
Si hago la esta consulta (y tengo creado el archivo .bib):
http://domain/test.php?file=hola.bibMe devolvería:
El archivo elegido es: string(8) "hola.bib"
La extension del archivo es: string(3) "bib"
Segun strcasecmp, la extension es un bib ?: bool(true)
El archivo elegido existe ?: bool(true)
Pero si hago esto
http://domain/test.php?file=test.php%00.bibMe devuelve:
El archivo elegido es: string(13) "test.php.bib"
La extension del archivo es: string(3) "bib"
Segun strcasecmp, la extension es un bib ?: bool(true)
El archivo elegido existe ?: bool(false)
Si te fijas, la función
strcasecmp si es vulnerable porque compara vía binaria pero el
file_exists no lo es (dice que el archivo no existe, a pesar de que existe) porque no procesa strings con NullBytes.
Puedes ver más info en el changelog de PHP para esa version.
http://php.net/releases/5_3_4.phpPaths with NULL in them (foo\0bar.txt) are now considered as invalid (CVE-2006-7243).
Eso se aplica para todas la funciones que tratan con archivos (file_exists, file_get_contents, include, require etc..)
Saludos
Mostrar Mensajes
